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(54) Pro cede de mise en oeuvre dun programme securise dans une carte a microprocesseur et 
carte a microprocesseur comportant un programme securise 



(57) On prevoit de securiser un programme a 
regard d'une unite centrale (1 ) en memorisant dans une 
premiere zone de memoire (3) une serie de fonctions a 
adresse predetermines directement executabies par 
I'unite centrale (1), en protegeant cette premiere zone 



de memoire en ecriture, et en memorisant le programme 
dans une seconde zone de memoire (4) sous forme 
d'une serie d'instructions executabies a I'interieur de la 
seconde zone de memoire (4) ou activant des fonctions 
contenues dans la premiere zone de memoire (3) . 
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Description 

La presente invention concerne un procede de mise 
en oeuvre d'un programme securise dans une carte a 
microprocesseur et une carte a microprocesseur com- 
portant un programme securise. 

On sait que la plupart des microprocesseurs actuels 
comportent en plus de la memoire RAM et de la memoi- 
re ROM associees a ('unite centrale pour permettre ie 
fonctionnement de celle-cL une memoire EEPROM 
contenant des donnees propres au porteur de !a carte 
et a I'application de base a laquelle cette carte est des- 
tinee. II est de plus en plus frequent que les operateurs. 
c'est-a-dire les societes qui achetent les cartes aux fa- 
bricants pour les mettre a ia disposition des utilisateurs, 
demandent le chargement dans la memoire EEPROM 
d'un programme qui leur est personnel. A titre d'exem- 
ple, dans une carte a microprocesseur destinee a la ra- 
diocommunication certains operateurs ont demande la 
mise en place d'un programme de messagerie vocale. 
Lorsque la liaison entre la memoire EEPROM et Tunite 
centrale est laissee totalement libre, le chargement par 
un operateur d'un programme ecrit dans un langage di- 
rectement comprehensible par I'unite centrale resulte 
en una prise de controle totale de I'unite centrale lors de 
I'execution du programme sans aucune surveillance de 
la part du systeme d'exploitation du fabricant de la carte 
qui se trouve ainsi desactive. Ayant le controle de I'unite 
centrale, le programme de I'operateur peut contenir des 
instructions permettant un acces a toutes les informa- 
tions contenues dans la carte, y compris celles qui de- 
vraient normalement etre protegees a son egard. 

Pour eviter une prise de controle de I'unite centrale 
par le programme de I'operateur, on connait des cartes 
a microprocesseur dans lesquelles la memoire conte- 
nant le programme de i'operateur doit etre charge avec 
des commandes particulieres qui sont verifiees par un 
interpreter dispose entre la memoire et I'unite centrale, 
Tinterpreteur ayant pour fonction de verifier que la com- 
mande ne porte pas atteinte a la securite des informa- 
tions presentes dans la carte et de transformer la com- 
mande en une instruction executable par I'unite centra- 
le. L'inconvenient d'un tel systeme est qu'il est neces- 
saire de rediger le programme de I'operateur a partir de 
commandes comprehensibles par Tinterpreteur, ce qui 
limite les possibilites du programme operateur. En outre 
le programme operateur n'est pas execute directement 
mais tout d'abord soumis a une transformation par Tin- 
terpreteur de sorte que la Vitesse d'execution du pro- 
gramme s'en trouve affectee. 

Selon Tinvention on propose un procede de mise 
en oeuvre dans une carte a microprocesseur d'un pro- 
gramme securise a regard d'une unite centrale reliee a 
une memoire comportant des zones de memoire, le pro- 
cede comprenant les etapes de memoriser dans une 
premiere zone de memoire une serie de fonctions a 
adresse predetermined directement executables par 
Tunite centrale, proteger cette premiere zone de memoi- 



re en ecriture, et memoriser le programme dans une se- 
conde zone de memoire sous forme d'une serie des- 
tructions executables a Tinterieur de la seconde zone 
de memoire ou activant des fonctions contenues dans 

5 la premiere zone de memoire. 

Ainsi pour les instructions devant etre executees a 
Texterieur de la seconde zone de memoire, la serie de 
fonctions a adresse predeterminee contenues dans la 
premiere zone de memoire constitue une barriere entre 

to le programme et Tunite centrale, le programme etant 
dans Tincapacite d'activer une fonction executable par 
Tunite centrale qui ne serait pas contenue dans la pre- 
miere zone de memoire. 

Selon une version avantageuse de Tinvention le 

is procede comporte Tetape de verifier avant un lancement 
du programme que celui-ci ne comporte que des ins- 
tructions executables a Tinterieur de la seconde zone 
de memoire, ou activant des fonctions contenues dans 
la premiere zone de memoire. On evite ainsi qu'un frau- 
ds deur n'introduise dans le programme operateur une 
fonction directement executable qui porterait atteinte a 
la securite des informations presentes dans la carte. 

Selon un autre aspect avantageux de Tinvention, la 
verification du programme est effectuee au moment de 

25 Initialisation de la carte entre deux octets de reponse 
a Tinitialisation. On profite ainsi de Tintervalte de temps 
qui separe les deux octets de reponse pour effectuer la 
verification du programme, de sorte que le processus 
d'initialisation ne se trouve pas allonge. 

30 (.'invention concerne egalement une carte a micro- 
processeur comportant une unite centrale reliee a une 
memoire comportant des zones de memoire, la carte 
comportant dans au moins une premiere zone de me- 
moire, protegee en ecriture, une serie de fonctions a 

35 adresse predeterminee directement executables par 
Tunite centrale ; et dans au moins une seconde zone de 
memoire une serie destructions executables a Tinte- 
rieur de la seconde zone de memoire ou activant des 
fonctions contenues dans la premiere zonede memoire. 

40 De preference la seconde zone de memoire est 
egalement protegee en ecriture. 

D'autres caracteristiques et avantages de Tinven- 
tion apparaitront a ia lecture de la description qui suit 
d'un mode de mise en oeuvre particulier non limitatif du 

45 procede selon Tinvention, en relation avec la figure uni- 
que ci-jointe qui est un schema synoptique du procede 
selon Tinvention. 

En reference a ia figure, la carte a microprocesseur 
selon Tinvention comporte d'une facon connue en soi 

50 une unite centrale 1 reliee a des memoires RAM et ROM 
non representees, et a une memoire EEPROM 2 com- 
portant notamment une premiere zone de memoire 3 et 
une seconde zone de memoire 4. 

Selon Tinvention, la premiere zone de memoire 3 

55 est chargee avec une serie de fonctions a adresse pre- 
determinee directement executables par I'unite centrale 
1 de la carte. 

Le chargement de la premiere zone de memoire est 
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effectue par le fabricant de la carte, par exemple selon 
une serie cooperations illustrees sur rorganigramme de 
gauche de la figure 1 et comportant un acces 5 a la pre- 
miere zone de memoire de la carte, un chargement 6 
des fonctions executables et une protection 7 de la pre- 
miere zone de memoire 3 en ecriture. La protection de 
la premiere zone de memoire 3 peut etre obtenue soit 
par un code d'acces associe a un algorithme d'authen- 
tification, le code d'acces etant connu seulement du fa- 
bricant. soit par une interdiction totale d'ecriture de la 
premiere zone de memoire 3 apres le chargement de 
celle-ci. 

On entend par fonction a adresse predeterminee au 
sens de ('invention une fonction executable a une adres- 
se explicitement indiquee dans la fonction ou a une 
adresse pouvant etre calculee par I'unite centrale a par- 
tir d'une definition donnee dans la fonction de sorte 
qu'en raison de la protection en ecriture de la zone de 
memoire contenant les fonctions, la definition des 
adresses ou ces fonctions sont executees ne peut pas 
etre modifiee par le programme operateur. Cette dispo- 
sition permet done de controler de facon precise toutes 
les adresses accessibles au programme operateur. 

Selon I'invention la seconde zone de memoire est 
chargee avec le programme operateur sous forme d'une 
serie destructions executables a I'interieur de la secon- 
de zone de memoire ou activant des fonctions conte- 
nues dans la premiere zone de memoire. Les instruc- 
tions executables peuvent etre toutes les fonctions di- 
rectement executables par I'unite centrale mais dont les 
parametres sont fixes de facoh a determiner si elles sont 
executables dans la seconde zone de memoire, e'est- 
a-dire si elles pointent sur des adresses comprises dans 
la seconde zone de memoire : ou en dehors de celle-ci. 
A ce propos on notera qu'une fonction contenue dans 
la premiere zone de memoire, par exemple une fonction 
de lecture ou d'ecriture, sera executable en dehors de 
cette zone mais a des adresses controlees comme in- 
dique ci-dessus. 

Le programme operateur peut etre charge soit par 
le fabricant de la carte a la demande de I'operateur, soit 
par ce!ui-ci selon un organigramme qui est illustre sur 
le milieu de la figure 1 et qui comporte un acces 8 a la 
seconde zone de memoire suivi d'un chargement 9 du 
programme dans la seconde zone de memoire. 

De preference, le chargement du programme est 
suivi d'une operation de protection en ecriture de la se- 
conde zone de memoire vis-a-vis d'un utilisateur exte- 
rieur. 

Toutes les operations de chargement sont effec- 
tuees sous le controle de I'unite centrale et il est done 
possible de prevoir au cours du chargement une verifi- 
cation que les instructions saisies dans la seconde zone 
de memoire sont toutes executables a I'interieur de la 
seconde zone de memoire ou activent des fonctions 
contenues dans la premiere zone de memoire. Afin de 
pallier toute fraude sur le contenu de la seconde zone 
de memoire apres le chargement normal de celle-ci, on 
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prevoit de preference prealablement au chargement du 
programme une interdiction d'execution de celui-ci et 
une procedure de lancement du programme selon un 
organigramme qui est illustre par la partie droite de la 

5 figure 1. Cet organigramme comporte une initialisation 
10 de la carte : l'envoi 11 d'un premier octet de reponse 
a i'initialisation de la carte, une etape de verification 1 2 
du programme contenu dans la seconde zone de me- 
moire pour s'assurer que toutes les instructions sont 

10 executables a I'interieur de la seconde zonede memoire 
ou activent des fonctions dans la premiere zone de me- 
moire, ('envoi 13 d'un second octet de reponse, le cas 
echeant la saisie d'un code d'acces 14 au programme 
pour le lancement de celui-ci, l'envoi 1 5 des octets res- 

15 tants de la reponse a I'initialisation, la repartition 1 6 des 
commandes.. I'execution 17 du programme et ('execu- 
tion 18 de la commande recue. 

La verification qu'une fonction appelee par le pro- 
gramme est bien contenue dans la premiere zone de 

20 memoire peut etre realisee en consultant une table don- 
nant toutes les adresses de lancement des fonctions 
contenues dans la premiere zone de memoire. 

La verification du programme doit bien entendu re- 
sulter en une signalisation afin que le programme ne 

25 puisse pas etre lance dans le cas d'une instruction er- 
ronee dans le programme. Cette signalisation est par 
exemple effectuee par le positionnement d'un drapeau 
dans la seconde zone de memoire lorsque la verification 
est satisfaisante et la remise a zero du drapeau dans le 

30 cas contraire. Dans le cas ou il est necessaire de saisir 
un code pour ('execution du programme operateur on 
peut egalement prevoir un drapeau associe a la saisie 
de ce code. On remarquera que la premiere et la secon- 
de zone de memoire contiennent des instructions direc- 
ts tement executables de sorte qu'apres verification du 
programme celui-ci sera execute sans aucune contrain- 
te contrairement aux systemes anterieurs qui doivent in- 
clure une interpretation de chaque commande preala- 
blement a son execution. 

40 Bien entendu I'invention n'est pas limitee au mode 
de mise en oeuvre illustre et est susceptible de varia- 
tions qui apparattront a ITiomme de metier sans sortir 
du cadre de I'invention tel que defini par les revendica- 
tions. 

^5 En particulier, bien que I'invention ait ete decrite en 
relation avec une memoire EEPROM 2 contenant une 
seule premiere zone de memoire 3 et une seule secon- 
de zone de memoire 4, on peut sans sortir du cadre de 
I'invention prevoir plusieurs programmes differents 

50 charges dans des secondes zones de memoires diffe- 
rentes associees a une meme premiere zone de me- 
moire ou au contraire chacune associee a une premiere 
zone de memoire contenant les fonctions executables 
correspondantes. 

55 Bien que ['invention ait ete illustree avec une pre- 
miere zone de memoire dans le EEPROM 2, ce qui per- 
met un chargement des fonctions executables apres 
I'encartage du microprocesseur, on peut egalement pre- 
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voir de charger les fonctions executables de !a premiere 
zone de memoire dans la RAM ou la ROM associee a 
('unite centrale : les fonctions etant alors integrees au 
masque servant a realiser le microprocesseur. 



Revendications 



de memoire sont executables exclusivement dans 
la seconde zone de memoire. 

5. Carte a microprocesseur selon la revendication 4 : 
5 caracterisee en ce que la seconde zone de memoi- 

re est au moins partiellement protegee en ecriture. 



1. Procede de mise en oeuvre dans une carte a mi- 
croprocesseur d'un programme securise a regard to 
d'une unite centrale (1) reliee a une memoire (2) 
comportant des zones de memoire, comprenant les 
etapes de : 

memoriser dans une premiere zone de memoi- is 
re (3) une serie de fonctions directement exe- 
cutables par une unite centrale (1 ), 
proteger cette premiere zone de memoire (3) 
en ecriture, 

memoriser le programme dans une seconde 20 
zone de memoire (4) sous forme d'une serie 
destructions executables par I'unite centrale 
ou activant des fonctions contenues dans la 
premiere zone de memoire (3), caracterise en 
ce que les fonctions de la premiere zone de me- 25 
moire sont executables a des adresses prede- 
termines, et en ce qu'en dehors de i'activation 
des fonctions de la premiere zone de memoire, 
les instructions de la seconde zone de memoire 
sont executables exclusivement dans la secon- 30 
de zone de memoire. 



2. Procede selon la revendication 1 , caracterise en ce 
qu'il comporte I'etape de verifier avant lancement 

du programme que celui-ci ne comporte que des 35 
instructions executables exclusivement a I'interieur 
de la seconde zone de memoire (4) ou activant des 
fonctions contenues dans la premiere zone de me- 
moire (3). 

40 

3. Procede selon la revendication 2, caracterise en ce 
que la verification du programme est effectuee au 
moment de initialisation de la carte entre deux se- 
ries d'octets de reponse a 1'initialisation. 

45 

4. Carte microprocesseur comportant une unite cen- 
trale (1 ) reliee a une memoire (2) comportant dans 
au moins une premiere zone de memoire (3), pro- 
tegee en ecriture, des fonctions directement execu- 
tables par I'unite centrale (1 ), et dans au moins une so 
seconde zone de memoire (4), une serie destruc- 
tions executables par I'unite centrale ou activant 
des fonctions contenues dans la premiere zone de 
memoire : caracterisee en ce que les fonctions de 

la premiere zone de memoire sont executables a 55 
des adresses predetermines, et en ce qu'en de- 
hors de I'activation des fonctions de la premiere zo- 
ne de memoire, les instructions de la seconde zone 
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